WordPress ເວີຊັ່ນເກົ່າອັນຕະລາຍ

ດ່ວນ WordPress ເວີຊັ່ນເກົ່າ Code ອັນຕະລາຍ

ອາທິດທີ່ຜ່ານມາ WordPress ອອກເວີຊັ່ນໃໝ່ລ່າສຸດທີ່ປິດຊ່ອງໂຫວ່ 3 ລາຍການ ທີ່ກ່ຽວກັບ Cross-Site Scripting (XSS) ແລະ SQL Injectionທີ່ນຳໄປຫາຊ່ອງໂຫວ່ອີກຫຼາຍຢ່າງໄດ້ ເຊິງຊ່ອງໂຫວ່ດັງກວ່າຈະເຫັນໃນ WordPress ຕັ້ງແຕ່ເວີຊັ່ນ 4.7.1 ລົງໄປ ຫຼື ເກົ່າກວ່າ

• ຖືກລາຍງານໂດຍ  David Herrera ຈາກ Alley Interactive ເປັນຊ່ອງໂຫວ່ທີ່ເປີດໃຫ້ຂໍ້ມູນຮົ່ວໄຫລ ໂດຍການສະແດງໜ້າ Interface ຂອງ Admin ສຳລັບກຳນົດຊື່ໃນຟັງຊັນ Press This ເຊິງເຮັດໃຫ້ເປັນການສັ່ງສະແດງ Posts ເນື້ອຫາຕ່າງໆ ໃຫ້ແກ່ຜູ້ໃຊ້ທີ່ບໍ່ໄດ້ຮັບອານຸຍາດ.
• ຖືກຊອກເຫັນໂດຍນັກວິໃຈ Mo Jangda ທີ່ກ່ຽວຂ້ອງກັບຂະບວນການຂອງ WP_Query ທີ່ໃຊ້ເຂົ້າຫາໂຕແປ ແລະ ຟັງຊັນຕ່າງໆ ໃນແກນຫຼັກຂອງ WordPress ໄດ້, ເຊິງເປັນໂຈມຕີແບບ SQL Injection ເຊິງແພນີ້ ນອກຈາກປົກປ້ອງໂຕ Code ຫຼັກຂອງ WordPress ແລ້ວ ຍັງຊ່ອຍປ້ອງກັນບໍ່ໃຫ້ Plugins ຫຼື Themes ອື່ນໆ ມາເປັນຕົ້ນເຫດເຮັດໃຫ້ເກີດຊ່ອງຮົ່ວລັກສະນະນີ້ໄດ້ອີກ.
• ສ່ວນຊ່ອງໂຫວ່ໂຕສຸດທ້າຍກ່ຽວຂ້ອງກັບ XSS ເຊິງຖືກຊອກເຫັນ ແລະ ລາຍງານໂດຍທີມງານພາຍໃນຂອງ WordPress ເອງ ເຊິງກ່ຽວຂ້ອງກັບການ Post list class ຂອງຕາຕະລາງໃນໂຕ WordPress.